Servery Apache musí čelit sofistikovanému útoku

Servery Apache napadá mimořádně agresivní malware nazvaný Linux/Cdorked.A, který infikuje klienty návštěvníků tím, že je přesměruje na škodlivé weby obsahující sadu malwaru Blackhole. Linux/Cdorked.A objevily bezpečnostní týmy společností Sucuri a Eset, které malware označují za sofistikovaný a dobře maskovaná zadní vrátka, jejichž hlavním účelem je přesměrovávání datové komunikace.

Podle blogu na webu Esetu je tento malware jedním z nejpropracovanějších útoků typu zadní vrátka na Apache, který byl dosud objeven, a který jich už pomohl napadnout minimálně stovky.

Zadní vrátka nezanechávají v napadených hostitelských počítačích žádné stopy, kromě jednoho modifikovaného binárního souboru. Všechny informace týkající se přesměrování jsou ukládány ve sdílené paměti a komunikace s ovládacím centrem malwaru se neobjevuje v žádném z protokolů serveru Apache.

To, že se vše nachází v paměti, značně komplikuje identifikaci. Forenzní analýza, ke které typicky dochází po hlášení incidentu, vždy hledá známky nežádoucí aktivity na pevných discích a to v tomto případě nepovede k žádným nálezům. Na druhé straně, pokud dojde k restartování serveru, malware bude vymazán. Ale k tomu dochází pouze v případech upgradu nebo aktualizací Apache. A to u webových serverů není pravidelná ani častá záležitost. Když je nějaká oprava uvolněna, nejaktivnější správci ji aplikují okamžitě, ale není neobvyklé se setkat se servery Apache, které nebyly aktualizovány celé týdny nebo měsíce.

Zatím není jasné, jak k infikování serveru vůbec dochází. To znamená, že restart serveru není žádným řešením, je pravděpodobné, že k opětovnému infikování dojde velmi rychle. Jedinou možností je opravit bezpečnostní slabinou, jejímž prostřednictvím jsou servery napadány.

Znepokojující fakt je především to, že napadeny byly hostingové servery, které bývají výrazně lépe zabezpečeny než běžné weby nebo servery. Současně provozují velké množství webů, které se postarají o sekundární infekci velkého množství návštěvníků.

Právě efektivnost a praktická neviditelnost útoku odlišuje tento malware od předchozích generací. Ty bylo v případě pochybností o daném serveru velmi jednoduché nalézt.

V poslední době došlo k dramatickému poklesu v počtu domén, které byly registrovány výslovně za účelem vytváření škodlivých webů. Servery se stávají jednodušším cílem a současně jsou jejich návštěvníci méně obezřetní.